package com.apimarket.security;

import com.apimarket.entity.SysMenu;
import com.apimarket.service.SysUserService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.access.ConfigAttribute;
import org.springframework.security.access.SecurityConfig;
import org.springframework.security.web.FilterInvocation;
import org.springframework.security.web.access.intercept.FilterInvocationSecurityMetadataSource;
import org.springframework.stereotype.Component;
import org.springframework.util.AntPathMatcher;

import java.util.Collection;
import java.util.List;

/**
 * @Description:安全元数据源
 *根据请求路径从数据库中查出当前资源路径需要哪些权限才能访问，
 * 然后将查出的需要的权限列表交给AccessDecisionManager去处理后续逻辑。
 * 那就是需要先实现一个SecurityMetadataSource，翻译过来是"安全元数据源"
 * @Author ZXR
 * @Date 2021/7/20 20:12
 * @Version 1.0
 */

@Component
public class CustomizeFilterInvocationSecurityMetadataSource implements FilterInvocationSecurityMetadataSource {
    AntPathMatcher antPathMatcher=new AntPathMatcher();
    @Autowired
    SysUserService sysUserService;
    /*
    获取某个受保护的安全对象object的所需要的权限信息,是一组ConfigAttribute对象的集合，
    如果该安全对象object不被当前SecurityMetadataSource对象支持,则抛出异常IllegalArgumentException。
    该方法通常配合boolean supports(Class<?> clazz)一起使用，
    先使用boolean supports(Class<?> clazz)确保安全对象能被当前SecurityMetadataSource支持，然后再调用该方法。
     */
    @Override
    public Collection<ConfigAttribute> getAttributes(Object o) throws IllegalArgumentException {
        //获取请求地址
        String requestUrl = ((FilterInvocation) o).getRequestUrl();
        if(requestUrl.contains("?"))
            requestUrl=requestUrl.split("\\?")[0];
        //查询具体某个接口的权限
        List<SysMenu> menuList=sysUserService.selectMenuListByPath(requestUrl);
        if(menuList==null||menuList.size()==0){
            //请求路径没有配置权限，表示请求接口可以任意访问
            return null;
        }
        //这里我们的设计其实就一个元素
        String[] attributes=new String[menuList.size()];
        for(int i=0;i<menuList.size();i++){
            attributes[i]=menuList.get(i).getPermission();
        }
        //SecurityConfig这个配置类就是为了保存 ConfigAttribute 而存在
        //static List<ConfigAttribute>	createList(String... attributeNames)
        //这里就是存放了，访问某个请求路径需要有哪些权限
        return SecurityConfig.createList(attributes);
    }

    /*
    获取该SecurityMetadataSource对象中保存的针对所有安全对象的权限信息的集合。
    该方法的主要目的是被AbstractSecurityInterceptor用于启动时校验每个ConfigAttribute对象。
     */
    @Override
    public Collection<ConfigAttribute> getAllConfigAttributes() {
        return null;
    }

    /*
    这里clazz表示安全对象的类型，该方法用于告知调用者当前SecurityMetadataSource是否支持此类安全对象，
    只有支持的时候，才能对这类安全对象调用getAttributes方法。
    注意：这里要改成true，否则会报错
     */
    @Override
    public boolean supports(Class<?> aClass) {
        return true;
    }
}
